前言
北京時間2022年5月9日,知道創宇區塊鏈安全實驗室監測到BSC鏈上借貸協議FortressProtocol因預言機問題被攻擊,這是最近實驗室檢測到的第三起預言機攻擊事件,損失包括1,048枚ETH和400,000枚DAI,共計約300W美元,目前已使用AnySwap和Celer跨鏈到以太坊利用Tornado進行混幣。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
美國總統參選人希望推出降低加密礦企稅收的新法規:7月3日消息,美國總統參選人維韋克·拉馬斯瓦米(Vivek Ramaswamy)在最近接受采訪時表示,他不僅接受比特幣捐款來支持他的競選活動,而且他還希望推出新的法規,以降低加密礦企的稅收。他表示,比特幣將更好地賦予他權力以履行美國總統的職責,并穩定美元的地位。拉馬斯瓦米還表示,沒有很快推出NFT的計劃,并稱他現在更關注政策。據此前消息,美國總統參選人小羅伯特?肯尼迪也宣布接受比特幣競選捐款。[2023/7/3 22:14:37]
被攻擊Comtroller:0x01bfa5c99326464b8a1e1d411bb4783bb91ea629
FTX現任領導層:SBF與其他高管在收購Embed時就已知道Alameda資不抵債:金色財經報道,FTX現任領導層稱,SBF和其他高管在完成以近2.5億美元收購股票清算平臺Embed 的交易時就知道Alameda Research資不抵債。FTX破產律師希望收回資金,理由是 Alameda 在 9 月下旬完成交易時已經資不抵債,而且同樣由SBF控制的投資基金和姊妹公司 West Realm Shires 支付了 Embed 一筆虛高價格,該訴訟是為了在破產程序中最大限度地償還 FTX 和 Alameda 自己的債權人。[2023/5/18 15:11:01]
被攻擊預言機地址:0xc11b687cd6061a6516e23769e4657b6efa25d78e
Curve穩定幣crvUSD合約重新部署已完成,套利交易者需更新機器人地址:5月14日消息,Curve Finance發推稱,Curve原生穩定幣crvUSD合約重新部署已完成。此次部署通過套利交易的軟清算進行現場測試,Curve Finance提醒套利交易者更新其機器人地址。[2023/5/15 15:02:43]
攻擊者地址:0xA6AF2872176320015f8ddB2ba013B38Cb35d22Ad
攻擊合約:0xcD337b920678cF35143322Ab31ab8977C3463a45
tx:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
數據:Deribit上的ETH期貨合約24小時交易量達到4個月高點:金色財經報道,據Glassnode數據顯示,Deribit上的ETH期貨合約24小時交易量剛剛達到685,175,797美元的4個月高點。
2022年9月15日觀察到之前的4個月高點為679,769,522美元。[2022/10/26 11:44:47]
漏洞分析
該項目是依舊是Compound的仿盤,但由于項目方在預言機實現注釋了原本存在的檢查導致不需要足夠的power便可以通過0xc11b687cd6061a6516e23769e4657b6efa25d78e#submit篡改價格;
攻擊者通過改變FTS在協議中的價格借走了其他池子中的資產,市場中的借貸池如下:
攻擊流程
1、攻擊者購買了FTS代幣并通過提案投票支持添加FTS作為抵押物,提案ID為11;
2、通過調用預言機submit函數改變FTS的價格;
3、攻擊者使用100個FTS作為抵押物調用enterMarket進入市場;
4、由于市場價格對于FTS的價值計算出現問題,攻擊者使用該抵押品直接調用borrow進行借款;
借取的資產:
5、由于100個FTS沒什么價值不需要取回,而攻擊者后續仍將其他用于第一步的FTS還在Pancake兌換進行了徹底的套現。
總結
本次攻擊原因是Compound仿盤在預言機使用時出現了問題。近期大量Compound仿盤項目被攻擊,我們敦促所有Fork了Compound的項目方主動自查,目前已知的攻擊主要歸結于如下幾個問題:
千里之堤毀于蟻穴。從內部調用可見,本次攻擊者使用getAllMarkets依次遍歷拿取了全部市場的底層資產并將FTS徹底套現。建議項目方對于自己有不一樣的實現上一定要建立在充分的理解和足夠的第三方安全審計上。一點小的誤差將可能導致項目的全盤損失。
3月22日,頂峰AscendEX聯合首發NFT音樂發現與交易平臺Token||Traxx,并開放TRAXX/USDT交易市場.
1900/1/1 0:00:00場外交易占加密活動的很大一部分。在散戶交易層面,大部分市場活動是通過交易所進行的。這是因為這些平臺為交易者提供了一種簡單而安全的方法,可以快速進出倉位,并具有充足的流動性和公平的點差.
1900/1/1 0:00:00推薦理由: 本文介紹了DAO由于其組織結構而具有的特殊能力,能夠作為全新的搜索工具幫助組織更好地發展.
1900/1/1 0:00:002022年3月27日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi協議RevestFinance遭到黑客攻擊,損失約12萬美元.
1900/1/1 0:00:002022年3月10日WorldMobile將部署第二個飛艇,來連接非洲各地尚未連接網絡的地區,每個飛艇的覆蓋范圍可達75公里.
1900/1/1 0:00:00相關文章: Rust智能合約養成日記合約狀態數據定義與方法實現Rust智能合約養成日記編寫Rust智能合約單元測試Rust智能合約養成日記Rust智能合約部署.
1900/1/1 0:00:00